Når en ny medarbejder skal tildeles brugerrettigheder til Aula, sender Skoleafdelingen i Køge Kommune en mail til skolederen på den aktuelle skole med en oversigt over aktuelle medarbejdere med rettigheder. Det er ikke tilstrækkelig kontrol, konkluderer Datatilsynet.
Køge får kritik af Datatilsynet: Mangler systematisk kontrol med rettigheder i Aula
Køge Kommune har forsømt at lave løbende, systematiske kontroller af, om personale og forældres rettigheder i Aula var korrekte. Det modtager kommunen nu kritik for af Datatilsynet.
Bemærk
Denne artikel er flyttet fra en tidligere version af folkeskolen.dk, og det kan medføre nogle mangler i bl.a. layout, billeder og billedbeskæring, ligesom det desværre ikke har været teknisk muligt at overføre eventuelle kommentarer under artiklen.
I februar 2020 var Køge Kommune centrum for en omtalt sag, hvor en biologisk far uden forældremyndighed trods adressebeskyttelse fik adgang til oplysninger om elevens skole og bopæl.
Den satte fokus på, at kommuner og skoler selv skal indberette via for eksempel Tabulex eller KMD Elev, når en forælder får frakendt forældremyndigheden.
På den måde flyder oplysningen på få minutter over i ministeriets database og over i Aula natten efter. Der kan gå et par uger, inden det opdateres i cpr-registeret, som Aula også trækker data fra.
Kommunerne har haft 165 datalæk i Aula
Nu modtager kommunen kritik fra Datatilsynet for manglende kontrol med brugerrettigheder i Aula. Den har ikke været systematisk og dermed ikke i overensstemmelse med GDPR.
Brugerrettighederne i Køge Kommune sikres med KMD Educa Personale og KMD Educa Elev.
Når en ny medarbejder skal tildeles brugerrettigheder på en skole i Køge Kommune, har praksis været, at Skoleafdelingen sender en mail til skolederen på den aktuelle skole med en oversigt over aktuelle medarbejdere med rettigheder.
Skolelederen skal så bekræfte, at oversigten fortsat er retvisende. Den procedure er ifølge Datatilsynet ikke tilstrækkelig.
"Datatilsynet finder, at Køge Kommune - ved ikke at have haft systematiske kontroller f.eks. med faste tidsintervaller eller baseret på stikprøver med brugernes rettigheder i Aula - ikke har truffet passende organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved kommunens behandling af personoplysninger", står der i afgørelsen.
Af afgørelsen fremgår endvidere, at tilsynet har "lagt vægt på, at kontrol ved tildeling af rettigheder til nye medarbejdere ikke er systematisk, og at kommunen ikke har haft kontroller med andre brugere end medarbejderes adgange til Aula, f.eks. forældres".
I afgørelsen noterer Datatilsynet sig, at der er nedsat en arbejdsgruppe, der skal hjælpe skolerne med at implementere og yderligere kontroller, og at disse skulle være fuldt ud implementeret den 1. januar 2022.
Det har endnu ikke været muligt at få en kommentar fra Køge Kommune.